VMware NSX-T 設計
VMware® NSX-T™ は、異種のエンドポイントや技術スタックが混在したアプリケーション・フレームワークおよびアーキテクチャー向けに設計されています。 このような環境には、VMware vSphere® の他にも異種のハイパーバイザー、KVM、コンテナー、ベアメタル・サーバーが存在することがあります。 NSX-Tは、 vSphere 単独ではなく、他のプラットフォームにもまたがるソフトウェア定義のネットワークとセキュリティインフラストラクチャを構築するように設計されています。 vSphere を必要とせずに NSX-T コンポーネントをデプロイすることもできますが、この設計は主に vCenter Server vSphere 自動デプロイメントの範囲の NSX-T とその統合に焦点を当てています。
バージョン3では、NSX-Tは vSphere の仮想分散スイッチ(VDS)バージョン 7.0 上で実行できます。 VMware NSXと vSphere のすべての新規展開では、VDS上のNSX-Tが使用され、N-VDSは使用されなくなりました。 NSX-T 2.4 以降では、マネージャー VM とコントローラー VM の機能が結合されました。 その結果、コントローラー VM またはマネージャー VM が 3 台デプロイされます。 同一サブネット上に存在する場合は、内部ネットワーク・ロード・バランサーが使用されます。 複数の異なるサブネットにわたって存在する場合は、外部ロード・バランサーが必要です。
NSX-Tは、ファイアウォールポリシー、ファイアウォールポリシー内のゲストイントロスペクションの組み込み、高度なNetFlowトラッキングなど、多くの先進的な機能を提供します。 これらの機能を述べることは本資料の範囲を超えています。 この設計では、初期 vCenter Server® クラスターのデプロイメント時に NSX-T 管理インフラストラクチャーがデプロイされます。 NSX-T の詳細については、VMware NSX ドキュメントを参照してください。
NSX-T と NSX-V
VMware vSphere Network NSX (NSX-V) の場合、NSX-V オブジェクトと類似した機能を持つ NSX-T オブジェクトを以下に示します。 vSphere 環境における制限事項や相違点についても説明します。
次の表は、NSX-TとNSX-Vの典型的な対応機能をまとめたものです。
| NSX-V または vSphere ネイティブ | NSX-T |
|---|---|
| NSX トランスポート・ゾーン | トランスポート・ゾーン (オーバーレイまたは VLAN backed) |
| ポート・グループ (vDS) | セグメントまたは論理スイッチ |
| VXLAN (L2 カプセル化) | GENEVE (L2 カプセル化) |
| エッジ・ゲートウェイ | Tier-0 (T0) ゲートウェイ[1] |
| 分散論理ルーター | Tier-1 (T1) ゲートウェイ[2] |
| ESXi サーバー | トランスポート・ノード (ESXi、KVM、ベアメタル T0 ゲートウェイ) |
NSX-T では、層 0 (T0) ゲートウェイと層 1 (T1) ゲートウェイがあります。 前のセクションでは、これらは NSX-V エッジ・サービス・ゲートウェイ (ESG) および分散論理ルーター (DLR) に相当するものとして示されていますが、これは正確ではありません。
NSX-T では、分散ルーター (DR) とサービス・ルーター (SR) という 2 つの新しい概念が導入されています。
| ルーター・タイプ | 機能 |
|---|---|
| 分散ルーター | 基本的なパケット転送機能と分散東西ルーティング機能を提供します。 すべてのトランスポート・ノードにまたがります。 ESXi ではカーネル・モジュールとして実行されます。 |
| サービス・ルーター |
ゲートウェイ・サービスを提供します
|
NSX-T の主要な概念の一部は、NSX-V 機能に対応していません。 NSX-T の設計の実装について理解するには、次の概念を確認する必要があります。
- ゲートウェイクラスタは、NSX-T仮想ファブリックに参加する1つ以上のVMまたは物理マシンです。 それらは、オーバーレイ・ネットワーク・トランスポート・ゾーンおよび VLAN backed トランスポート・ゾーンのエンドポイントです。 ゲートウェイクラスタは、 T0 ゲートウェイインスタンスを1つサポートできます。
- T0 ゲートウェイは仮想ルーター・インスタンスであり、VM ではありません。 T0 ゲートウェイの複数のインスタンスを、それぞれ独自のルーティングテーブルと機能を備えた状態で、ゲートウェイクラスタ内で実行することができます。 T0 ルーターのインスタンスを作成するには、ゲートウェイクラスターが存在していなければなりません。
- 異なるプラットフォームや複数の vSphere vCenter インスタンス上のエンドポイントまでトランスポート・ゾーンの範囲を広げることができます。 vCenter 間リンク NSX は不要です。 特定のエンドポイントからトランスポート・ゾーンを除外できます。
- アップリンク・フェイルオーバー順序は特定の論理スイッチとは無関係に作成されます。アップリンク・フェイルオーバー順序は「アップリンク・プロファイル」としてプロファイルに作成され、VLAN に基づいて特定の論理スイッチに適用されるからです。 同じ VLAN に対する物理アップリンクに、異なるフェイルオーバー順序やロード・バランシングが必要になることがあります。 したがって、特定のVLANのアップリンクプロファイルには、異なるフェイルオーバー順序と負荷分散による「チーム化」の複数のエントリを含めることができます。 アップリンク・プロファイルを論理スイッチに割り当てると、特定のチーミング・プロファイルが選択されます。
- マネージャー VM の機能とコントローラー VM の機能が統合されているため、NSX-T マネージャー VM が 3 台デプロイされます。 同一サブネット上に存在する場合は、内部ネットワーク・ロード・バランサーが使用されます。 複数の異なるサブネットにわたって存在する場合は、外部ロード・バランサーが必要です。
リソース要件
この設計では、NSX-T コントローラー・マネージャー VM は管理クラスター上にデプロイされます。 また、各コントローラー・マネージャーには、プライベート・ポータブル・アドレス・ブロックから VLAN-backed IP アドレスが割り当てられます。 アドレス・ブロックは管理コンポーネント用に指定され、セクション 0 で説明されている DNS および NTP サーバーで構成されます。 NSX Managerのインストール概要は、以下の表に示されています。
| 属性 | 仕様 |
|---|---|
| NSX Manager または Controller | 3 つの仮想アプライアンス |
| vCPU の数 | 6 |
| メモリー | 24 GB |
| ディスク | 300 GB |
| ディスク・タイプ | シン・プロビジョン済み |
| NetworkPrivate A | プライベート A |
次の図は、NSX Manager およびこのアーキテクチャーに含まれる他のコンポーネントの配置を示しています。
デプロイメントに関する考慮事項
NSX-T v3.x on vSphere VDS switch version 7.0 により、ESXi ホスト上で N-VDS は不要になりました。 トランスポート・ノードとして構成する場合は、v7 VDS を使用できます。これにより、統合クラスターがより最適な設計になります。
初期デプロイメントの後、IBM Cloud® の自動化機能によって、管理クラスター内に 3 つの NSX-T Manager 仮想アプライアンスがデプロイされます。 管理コンポーネント用に指定されたプライベート A ポータブル・サブネットから VLAN–backed IP アドレスがコントローラーに割り当てられます。 さらに、クラスター内のホスト間でコントローラーが分離されるように、VM-VM アンチアフィニティー・ルールが作成されます。
Manager または Controller の高可用性を確保するために、管理クラスターは 3 ノード以上の構成でデプロイする必要があります。 Manager に加えて、デプロイ済みワークロード・クラスターが NSX-T トランスポート・ノードとして IBM Cloud 自動化機能によって準備されます。 「VLAN とサブネットの要約」から得られる NSX IP プール範囲によって指定されたプライベート A ポータブル IP アドレス範囲から、VLAN–backed IP アドレスが ESXi トランスポート・ノードに割り当てられます。 トランスポートノードのトラフィックは、タグなしのVLAN上に存在し、プライベートNSX-T VDSに割り当てられます。
選択したNSX-T トポロジに応じて、NSX-T ゲートウェイ クラスタを仮想マシンのペアとして、またはベアメタル クラスタ ノードにソフトウェアとしてデプロイすることができます。 IBM Cloud の自動処理機能ではベアメタル・エッジはサポートされないので、手動でデプロイして構成する必要があります。 仮想クラスター・ペアと物理クラスター・ペアのどちらであろうと、アップリンクは IBM Cloud のプライベート・ネットワークとパブリック・ネットワーク (ある場合) の両方の VDS スイッチに構成されます。
次の表に、中規模サイズの環境の要件をまとめます。これは実動ワークロードの開始サイズとして推奨されているサイズです。
| リソース | マネージャー x3 | エッジ・サービス・ クラスター x4 |
|---|---|---|
| 中サイズ | 仮想アプライアンス | 仮想アプライアンス |
| vCPU の数 | 6 | 4 |
| メモリー | 24 GB | 8 GB |
| ディスク | 300 GB vSAN または管理 NFS | 200 GB vSAN または管理 NFS |
| ディスク・タイプ | シン・プロビジョン済み | シン・プロビジョン済み |
| ネットワーク | プライベート A | プライベート A |
分散スイッチ設計
この設計では、最低限の数の vDS スイッチが使用されます。 管理クラスター内のホストは、プライベート・ネットワークとパブリック・ネットワーク (オプション) に接続されます。 ホストには 2 つの分散仮想スイッチが構成されます。 2 つのスイッチの使用は、パブリック・ネットワークとプライベート・ネットワークを分離する IBM Cloud ネットワークの手法に従います。 NSX と vSphere の新しいデプロイメントではすべて、vSphere VDS スイッチ・バージョン 7.0 の実行が利用されます。これにより、NSX-T コンバージド・アーキテクチャーが可能になります。
前の図に示すように、パブリック vDS *instancename*-*clustername*-public がパブリック・ネットワーク接続用に構成され、プライベート vDS *instancename*-*clustername*-private がプライベート・ネットワーク接続用に構成されます。 コンテンションと待ち時間を軽減し、セキュリティーを高めるためには、さまざまなタイプのトラフィックを分離することが必要です。
物理ネットワークの機能をセグメント化するために VLAN が使用されます。 この設計では、3 つの VLAN が使用されます。2 つはプライベート・ネットワーク・トラフィック用、1 つはパブリック・ネットワーク・トラフィック用です。 次の表は、トラフィック分離を示しています。
| VLAN | 指定 | トラフィック・タイプ |
|---|---|---|
| VLAN 1 | プライベート A | ESXi 管理、管理、Geneve (TEP)、エッジ・アップリンク |
| VLAN 2 | プライベート B | vSAN、NFS、および vMotion |
| VLAN 3 | パブリック | インターネット・アクセス可能 |
この設計では、オプションの 2 つのホスト・ゲートウェイ・クラスターに対して、2 つの VLAN が使用されています。一方はプライベート・ネットワーク・トラフィック用、もう一方はパブリック・ネットワーク・トラフィック用です。 このクラスター・タイプではローカル・ディスクをデータ・ストアとして使用します。 そのため、ストレージ・トラフィックが別に発生することがなくなります。 また、この設計では、NSX-T の Geneve (TEP) トラフィックも除外されます。 次の表は、このクラスター・タイプでの VLAN 間のトラフィックの分離を示しています。
| VLAN | 指定 | トラフィック・タイプ |
|---|---|---|
| VLAN 1 | プライベート伝送 | プライベート伝送 VLAN、ESXi 管理、および vMotion |
| VLAN 2 | パブリック伝送 | パブリック伝送 VLAN |
命名規則
デプロイメントには以下の命名規則が使用されます。 読みやすくするために、固有の名前のみが使用されます。 例えば、instancename-dcname-clustername-tz-edge-private は tz-edge-private として参照されます。
| 説明 | 命名標準 |
|---|---|
| 管理 VM | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| アップリンク・プロファイル | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| NIOC profiles | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| ゲートウェイ・クラスター・プロファイル | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| Transport zones | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| セグメント | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| IP address pools | instancename-clustername-tep-pool |
| Transport nodes profiles | instancename-podname.dcname-clustername-esxi-tpn-profile |
| Tier-0 and Tier-1 gateways | instancename-podname.dcname-clustername-T0-function (ここで、functionにはservices、workload、openshiftが含まれます)instancename-podname.dcname-clustername-T1-function |
トランスポート・ノード
仮想ネットワーク・ファブリックに参加する物理サーバー・オブジェクトまたは VM を、トランスポート・ノードで定義します。 次の表を確認して設計を理解してください。
| トランスポート・ノード・タイプ | アップリンク・プロファイル | IP 割り当て |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| ゲートウェイ・クラスター | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
アップリンク・プロファイルとチーミング
ハイパーバイザー・ホストから NSX-T 論理スイッチまでのリンクのポリシー、または NSX Edge ノードから最上位ラック・スイッチまでのリンクのポリシーを、アップリンク・プロファイルで定義します。
| アップリンク・プロファイル名 | VLAN | チーミング・ポリシー | アクティブ・アップリンク | スタンバイ・リンク | MTU |
|---|---|---|---|---|---|
esxi-private-profile |
デフォルト | デフォルト - ロードバランシングの送信元 | uplink-1 uplink-2 |
管理: vCenter サーバー | |
esxi-private-profile |
デフォルト | TEP - フェイルオーバー順序 | uplink-1 | uplink-2 | 管理: vCenter サーバー |
esxi-public-profile |
デフォルト | デフォルト - ロードバランシングの送信元 | uplink-1 uplink-2 |
管理: vCenter サーバー | |
edge-private-profile |
デフォルト | uplink-1 | 9000 | ||
edge-public-profile |
デフォルト | uplink-1 | 1500 | ||
edge-tep-profile |
デフォルト | フェイルオーバー順序 | uplink-1 | 9000 | |
mgmt-edge-private-profile |
デフォルト | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
デフォルト | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
デフォルト | フェイルオーバー順序 | uplink-1 | 9000 |
VNI プール
仮想ネットワーク ID (VNI) は、物理ネットワークに対する VLAN と似ています。 ID のプールつまり範囲から論理スイッチが作成されるときに、自動的に作成されます。 この設計では、NSX-T とともにデプロイされるデフォルトの VNI プールを使用します。
セグメント
NSX-T セグメントは、基礎となるハードウェアから完全に分離された仮想環境内で、スイッチング機能、ブロードキャスト/不明ユニキャスト/マルチキャスト (BUM) トラフィックを再現します。
| セグメント名 | VLAN | トランスポート・ゾーン | アップリンク・チーミング・ポリシー |
|---|---|---|---|
edge-teps |
デフォルト | tz-esxi-private |
TEP - フェイルオーバー順序 |
service-to-private |
デフォルト | tz-edge-private |
|
service-to-public |
デフォルト | tz-edge-public |
|
customer-to-private |
デフォルト | tz-edge-private |
|
customer-to-public |
デフォルト | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
ゲートウェイ・クラスター
この設計では、2 つの仮想エッジ・ノード・クラスターがプロビジョンされます。管理用のクラスターとカスタマー・ワークロード用のクラスターです。 エッジ・トランスポート・ノード 1 台あたりの T0 の数は 1 つに制限されています。つまり、1 つのエッジ・ノード・クラスターでは 1 つの T0 ゲートウェイ (アクティブ-スタンバイまたはアクティブ-アクティブのどちらか) をサポートできます。
次の図は、NSX-T ゲートウェイクラスタの機能コンポーネントを示しています。
層 0 論理ゲートウェイ
NSX-T 層 0 論理ゲートウェイは、(north-south トラフィックの) 論理ネットワークと物理ネットワークの間のゲートウェイ・サービスを提供します。 この設計では、2つの高可用性 T0 ゲートウェイが、顧客用とサービスまたは管理用にそれぞれ1つずつ、2つの別々のNSX-Tゲートウェイクラスタに展開されます。 顧客が選択したトポロジーでは、より多くのサービスや製品がオプションとなり、インバウンドまたはアウトバウンドの接続ニーズには T0 のサービスを利用します。 各 T0 論理ゲートウェイは、プライベート用の 2 つのアップリンクと、パブリック用の 2 つのアップリンクで構成されます。 さらに VIP がパブリックとプライベートの両方のアップリンクに割り当てられます。
層 1 論理ゲートウェイ
NSX-T 層 1 論理ゲートウェイには、NSX-T Data Center 論理スイッチに接続するためのダウンリンク・ポートと、NSX-T Data Center 層 0 論理ゲートウェイに接続するためのアップリンク・ポートがあります。 それらは、構成されたハイパーバイザーのカーネルレベルで実行され、NSX-T ゲートウェイクラスターの仮想ルーターインスタンス(vrf)です。 この設計では、顧客が選択したトポロジーのニーズに合わせて、1つまたは複数の T1 論理ゲートウェイを作成することができます。
層 1 から層 0 へのルート通知
異なる層 1 論理ゲートウェイに結び付けられた論理スイッチに接続された VM 間のレイヤー 3 接続を行うために、層 0 への層 1 ルート通知を有効にする必要があります。 層 1 論理ルーターと層 0 論理ルーターの間のルーティング・プロトコルや静的ルートを構成する必要はありません。 ルート通知を有効にすると、NSX-T によって静的ルートが自動的に作成されます。 この設計では、IBM Cloud® for VMware Solutions 自動化機能によって作成された T1 ゲートウェイに対してルート通知が常に有効です。
事前構成トポロジー
T1 から T0 ゲートウェイへのワークロード – 仮想ゲートウェイクラスタ
トポロジー 1 は基本的に、NSX-V DLR と Edge Gateway とともにデプロイされるのと同じトポロジーです。 NSX-T では、T1 と T0 の間に動的ルーティング・プロトコル構成はありません。 ワークロード・オーバーレイ・ネットワークとトランジット・オーバーレイ・ネットワークには RFC-1891 IP アドレス・スペースが使用されます。 お客様のプライベート・ポータブル IP スペースとパブリック・ポータブル IP スペースが、お客様用に割り当てられます。 お客様が指定した IBM Cloud プライベート・ポータブル IP スペースおよびパブリック・ポータブル IP スペースが、お客様用に T0 に割り当てられます。
-
T0 ゲートウェイはESGに似ています。 T0 ゲートウェイは、物理ネットワークと論理ネットワークの間に南北接続を提供し、動的ルーティング (BGP)、ECMP、およびステートフル・サービス (ファイアウォール、NAT、ロード・バランシングなど) をサポートします。 また、東西ルーティングのための分散サービスも提供します。 ↩︎
-
T1 ゲートウェイは、 T0 ゲートウェイと似ていますが、通常、物理ネットワークに接続するためのアップリンクは含まれていません。 T1 ゲートウェイのアップリンクは、T0 ゲートウェイを使用して、T1 ゲートウェイを自動接続オーバーレイ・セグメントに接続します。 T1 は、静的ルート、NAT、ロード・バランシング、および IPsec VPN をサポートしています。 ↩︎